2013年cisa考試知識點變化總結(jié)講義

馬 匯哲科技資深講

?2013SPISEC技 PSC）致于 管、審、證方的訓實研，以 流學指業(yè)SPSC為 ，于踐服質(zhì)的實，永。備 驗五以培經(jīng)身年于 業(yè)具較的業(yè)訓平豐的訓強的續(xù)務隊為員決試認作多培經(jīng)，培為服為實為個、內(nèi)第合伙提優(yōu)的訓。SPISEC于2008年開始在業(yè)內(nèi)陸續(xù)組織多場專業(yè)知識 座和研討，持續(xù)發(fā)布多期專 文檔和學習形式 、書籍。SPISEC至今為27000名會員提供免費的學習指導服務，其中為3000多名移動、能源、制造、IT等多個行業(yè) Page <Title>| ?2013SPISEC2013年CISA考試第二章IT治理與管理第四章信息系統(tǒng)的操作、 第五章信息資產(chǎn)的保護Page <Title>| ?2013SPISEC第一章信息系統(tǒng)的審 Page <Title>| ?2013SPISEC第二章IT治理 2.9.2外包實務— 2.12.10Page <Title>| ?2013SPISEC第二章IT治理 治2.10.3職責分離 數(shù)據(jù) 外包實務—目前外包治理方法 刪除標題 ）Page <Title>| ?2013SPISECIT平衡記為了把平衡記分卡應用于IT使成為首選的信息系統(tǒng)經(jīng)濟、有效地交付ITIT投資能獲得一個合理的抓住機遇應對未開發(fā)良好的應用系統(tǒng)建立用戶伙伴關(guān)系和良好的客戶服提高服務水平控制IT為IT項目賦于業(yè)務提供新的業(yè)務培訓和教育IT職員，追求卓為研究和開發(fā)提供

Page <Title>| ?2013SPISEC2.5過程改進模型和成熟 Page <Title>| ?2013SPISEC2.9.2采購實 方向在總體是技術(shù)供應和業(yè) ，系統(tǒng)是安全的和風險是可管理的，在任何環(huán)境都是，在第管理中更加復雜。典型的治理活動例如目標設(shè)定，政策 Page <Title>| ?2013SPISEC2.9.2采購實）Page <Title>| ?2013SPISEC是信息系統(tǒng)基于部門的流程得到有效控制、評價和改善。流程是由一系列任預期的結(jié)果信息系統(tǒng)審計師應當ISO9001 ，取代早 的ISO標準（2013年變化知識點）；ISO20000ISO27001、ISO9126、CMM等正式成文并，是否能產(chǎn)生預期的信息系統(tǒng)審計應 織是否 制定職能與流程并遵照執(zhí)行，如已制定，是否能產(chǎn)生信息系統(tǒng)審計師重點關(guān)注為關(guān)鍵業(yè)務職能制定的IT相 流程。為，審計師建議實施一個流程改善程序，排定所需活動的次序，制定所的活動計劃，為執(zhí)行Page <Title>| ?2013SPISEC （BritishStandardsInstitution,簡稱BSI）制定的 管理實踐規(guī)范》(CodeofPracticeforInformationSecurity)，9月在英國發(fā)布。 。1998年2月為了適應第認證的需求,英國又制定世界上 估的基礎(chǔ)。（2013年新增知識點）Page <Title>| ?2013SPISEC ，:2布成為正標，:2002大 ，引入國際上通行的管理模式過程方法和PDA持續(xù)改進式。2005年6月，ISO/IEC17799:2000經(jīng) ，同時，BS7799-2:2002ISO10 ISO/IEC17799:2005CodeofpracticeforInformationISO/IEC27001:2005InformationSecurity.SecurityInformationsecuritymanagementsystems.Page <Title>| ?2013SPISEC以ISO/IEC27001 管理標準逐漸發(fā)展成為一套完整的準族，具體包ISO/IEC27000，基礎(chǔ)和術(shù)語ISO/IEC 管理體系要求，20051015發(fā)布（ISO/IEC27001:2005）ISO/IEC27002， 管理體系最佳實踐，20074直接由ISO/IEC17799:2005（2005年6月15日正式發(fā)布）轉(zhuǎn)換而來。（ISO/IEC27003，ISMS實施指ISO/IEC 管理度量和改進ISO/IEC 風險管理指南，以2005BS7799-3（基于ISO/IEC13335-2）為藍Page <Title>| ?2013SPISEC 理人員作為參考文檔使用，從而在他們的機構(gòu)內(nèi)部實施和信息安 管理系統(tǒng)的要求，實施組織需要通過風險評估來鑒定安全策略（Security的組織（安全策略（Security的組織（Organizinginformationsecurity）資產(chǎn)管理（Asset人力資源安全（Human物理和環(huán)境安全（Physical通信和操作安全（Communicationsand信息系統(tǒng)開發(fā)和（Informationsystemacquisition,developmentandmaintenance）訪問控制（Access事故管理（Informationsecurityincidentmanagement）業(yè)務連續(xù)性管理（Businesscontinuitymanagement）符合性（Page <Title>| ?2013SPISECPDCA（Plan、Do、CheckAct）是管理學慣用的一個過程模型，最早是由休哈特（WalterShewhart）于19世紀30年代構(gòu)想的，后來被戴明（EdwardsDeming）采納、宣傳并運用于持續(xù)改善產(chǎn)品質(zhì)量的過程當中。Page <Title>| ?2013SPISEC（2013年新增知識點 Page <Title>| ?2013SPISEC不斷前進、不斷提高（2013年新增知識點PDCA循環(huán)就像爬樓梯一樣，一個循環(huán)運轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會高一步，然后再制定下一個循環(huán)，再運轉(zhuǎn)、再提高，不斷前進，不提高，是一個螺旋式上升的過程質(zhì)量

C螺旋上升的Page <Title>| ?2013SPISECPDCA和ISMS的結(jié)Page <Title>| ?2013SPISECIT治理最佳實IT治理和管理IT與各項業(yè)務保持一致，IT能夠促進業(yè)務開展并使效益最大化，IT資源ISO/IEC27001(ISO27001)系列標準：屬于一組最佳做法，可向各組 程序方面的指導。ISO27001最初作為英國標準7799(BS7799)在英國(UK)公布，現(xiàn)已成為該行業(yè)的公認標準。（注：第五章 管理體系（ISMS)”知識點，2013年新增知識點。 了關(guān)于如何實現(xiàn)成功的IT運營服務菅理的實用信息。2008年發(fā)布3.0版。Page <Title>| ?2013SPISEC （ITPage <Title>| ?2013SPISEC（2013年(CSF(KGI(KPIPage <Title>| ?2013SPISEC2.12.102013年變化知識點USNationalInstituteofStandardsandTechnology（ USFederalFinancialInstitutionsExaminationCouncil USFederalReserve USHealthandHumanServicesHHS 人員服務署制定的 USFederalEnergyRegulatoryCommission(FERC 能Page <Title>| ?2013SPISEC2.2公司必須通過公司治理實踐促進組織內(nèi)部問題的處理、決策的制定以及總體實踐。公司治理已被定義為制商業(yè)公司的系統(tǒng)”。具體來說，職責和采取的做法，用以指明方向，從而確保實現(xiàn)目標、恰當解決風險并合理利用世界經(jīng)濟合作與發(fā)展組織（OECD）：“公司治理包括組織中管理層 權(quán)、促進經(jīng)濟繁榮和社會凝聚力、減少貧困、加強環(huán)境保護和自然資源 Page <Title>| ?2013SPISEC2.2公司作為本框架的一部分，還應建立管理與報告業(yè)務風險的機制。要求組織應具備一個內(nèi)部控制系統(tǒng)，以便在探索用于改善業(yè)務的富有創(chuàng)新意義的 風險。同時，此框架也是保護利益相關(guān)者的平臺，因作出他們的投資決定。這樣，一方面需要利用各種可能的機會為利益相 社會責任的約束，因此公司治理便會試圖在這兩個互相 找到平衡點?？紤]到社會責任在公司治理中的重要性，國際標準化組織（ISO)已開始制定國際標準（ISO26000),從而為社會責任(SR)提供強制性的準則。（2013年刪除內(nèi)容Page <Title>| ?2013SPISEC有效 治企業(yè)治理是董事會和高級管理層為提供方針所實行的合理使用企業(yè)資源。（2013年刪除內(nèi)容）業(yè)務方針通過是通過業(yè)務目的和目標來明確，信息安全必須支持業(yè)務活企業(yè)交付的價值。 Page <Title>| ?2013SPISEC第三章信息系統(tǒng)的購 3.5.2SDLCPhase4B—配置 3.12.4Page <Title>| ?2013SPISEC第三章信息系統(tǒng)的購 3.6.20 Page <Title>| ?2013SPISEC第三章信息系統(tǒng)的購20123.4.3項目管理的一般事務（2013年刪除20123.6.13綜合客戶文件（2013年刪除20123.6.14辦公自動化（2013年刪除20123.7（2013年刪除20123.8.1面向數(shù)據(jù)的系統(tǒng)開發(fā)（2013年刪除20123.9.7系統(tǒng)軟件變更控制流程（2013年刪除2012-3.13.1輸入控制 聯(lián)機系統(tǒng)或數(shù)據(jù)庫系統(tǒng)中的批輸入完整性（2013年刪除Page <Title>| ?2013SPISEC3.2務實信性等主要因素的折衷結(jié)果。制定者需進行全面的研究素同可用于完成和系統(tǒng)的服務的優(yōu)勢、劣勢、競爭力進Page <Title>| ?2013SPISEC3.5.2傳統(tǒng)的SDLC各階段Phase4B—配置（Configuration）（注：2013年新增知系統(tǒng)配置，與SDLC關(guān)聯(lián)，包括：定義，和控制的 和批準所有變用控制而不是由直接用戶干預Page <Title>| ?2013SPISEC電子 有網(wǎng)絡。電子郵件由二進制數(shù)據(jù)組成，通常采用ASCII文本 Page <Title>| ?2013SPISECPOS 嵌入式微處理智能卡定義標準。（2013年新增知識點）Page <Title>| ?2013SPISEC電子銀確保重要銀行信息 規(guī)定（例如巴賽爾BaselAccordsIII）Page <Title>| ?2013SPISEC3.3.6項目中的團隊及個人角色和 提出建議。點位置的設(shè)定取決于使用的SDLC方法、系統(tǒng)的結(jié)構(gòu)和大小以及潛在偏差的影響。此外，還應重視基于流程的相應活動，請參閱本章3.11.4，ISO/IEC15504，2013年更新知識點）。QA功能的具體目標包–確保在修訂、評估和，應用標準、管理準則和流程過程中所相關(guān)方積極配合Page <Title>| ?2013SPISECISO/IEC15504是標準族（一系列文檔）為流程改善，基準能力維度提供對流程的度量以織目前或計劃的流程的業(yè)務目標。流程能力以流程屬性表達，如exhibit3.28顯示 Page <Title>| ?2013SPISEC3.12.4ISO15504（2013年變化內(nèi)容方式（計劃，和調(diào)整）并且其產(chǎn)出產(chǎn)品被恰當?shù)亟?，控制和。Page <Title>| ?2013SPISEC付成果的質(zhì)量。交付成果質(zhì)量的參數(shù)可由項目督導或Page <Title>| ?2013SPISEC電子商消費者 和自報稅申報等領(lǐng)域。（2013年刪除內(nèi)容）多個B-to-B關(guān)系/市場間的連接。X-to-X是B-to-B或B-到用品/產(chǎn)品。（2013年刪除內(nèi)容Page <Title>| ?2013SPISEC轉(zhuǎn)移 ）Page <Title>| ?2013SPISEC特別是從IS審計師的角度來講時，主要問題就是策略、運營和信譽風 銀行應具有風險管理程序，以便能夠識別、衡量 的技術(shù)險。新技術(shù)的風險管及如何提供該類服務，董事會應做出明確、精明且記錄在案的性決關(guān)的具體問責性、政策和控制。董事會應、批準和對銀行的風施適當?shù)目刂?。?013年刪除內(nèi)容）Page <Title>| ?2013SPISEC衡量和風險是運營管理人員的職責）電子銀行 的風險管電子銀 著眾多的風險管 。Page <Title>| ?2013SPISEC3.6.20供應鏈流動。同時也避免了人工操作（訂單確）所帶來的固有成本和誤差。 供應鏈，水災影響全球硬盤價格，歐洲冰島火山爆發(fā)影 。（Page <Title>| ?2013SPISEC3.8.5系統(tǒng)軟件的或中斷。軟件供應商通常會將 序（旨在減少與安全相關(guān)的 公司（如SANS SEI)的CERT或McAfee 要求不兼容。（2013年刪除內(nèi)容Page <Title>| ?2013SPISEC業(yè)務流程很有效。構(gòu)成業(yè)務的所有其他內(nèi)容都在喪失其唯一性，而變成了一種商品。 程正在演變成一項世界性的董事會議程?！保∟agaraj,N.S.;BusinessProcessManagement——AnEmergingTrend,Infosys/SETLabs, ,2001)（組以生成客戶導向型輸出的特定輸入和增值任務為特征的相互關(guān)聯(lián)的工作活動。業(yè)務流程由 能的橫向工作流程組成?！保⊿eth,Vikram;WilliamKing;OrganizationalTransformationthroughBusinessProcessReengineering,PrenticeHall,USA,1998)（2013年刪除內(nèi)容）Page <Title>| ?2013SPISEC應用控制是對輸入功應用控制包括用于確僅在計算機系統(tǒng)中輸處理操作完成正確處理結(jié)果滿足預期數(shù)。Page <Title>| ?2013SPISEC3.4.3項目管理的一般事務（2013年刪除項目管理軟件的 文–自動化文檔工具可處理系統(tǒng)和程序文檔的制作、驗證和。這些工具辦公自–可減少員工參與為滿足政策要求和在員工會議上執(zhí)行通信和記錄功能所Page <Title>| ?2013SPISEC3.6.13綜合客戶文件（2013年刪除。有助于組織進行客戶分析和市 Page <Title>| ?2013SPISEC3.6.14辦公自動化（2013年刪除很多組織的都使用了大量的電子設(shè)備和技術(shù)和電子郵件每天都在很多里使用，局域網(wǎng)將本地的計算機連接在一起，以便于這些技術(shù)，但是常常缺乏必要的控制和安全措施。Page <Title>| ?2013SPISEC3.6.16協(xié)同處理系統(tǒng)（2013年刪除Page <Title>| ?2013SPISEC3.7其他的軟件項目組織形式（2013年刪除）。鑒于這些因素，IS遞增式或漸進式開發(fā)(Incrementalorprogressivedevelopment)： Page <Title>| ?2013SPISEC3.7其他的軟件項目組織形式（2013年刪除 發(fā)(Iterativedevelopment)：這種方法涉及到通過迭代的方 復雜性的來源包現(xiàn)在所開發(fā)系統(tǒng)的深度和廣度。例如電子商務、客戶關(guān)系管理)、供應鏈集成 交易處理 分析處業(yè)務變更率需要作出各種各樣架構(gòu)方面的決策。例如，系統(tǒng)應具有圖形用戶面（GUI)還是瀏覽器界面；使用哪 ；使用哪個Web服務常常需要將新系統(tǒng)與舊版系統(tǒng)進行整Page <Title>| ?2013SPISEC3.7其他的軟件項目組織形式（2013年刪除–進化式開發(fā)(Evolutionarydevelopment)：通過原型螺旋式開發(fā)（Spiraldevelopment）：開發(fā)解決方案時需求的詳細說明、系統(tǒng)設(shè)計和測試計劃)。Page <Title>| ?2013SPISEC3.7其他的軟件項目組織形式（2013年刪除–敏捷開發(fā)(Agiledevelopment)：項目被劃分為持續(xù)時 功能以與預定的開發(fā)方法和架構(gòu)保持一致的方式開發(fā)。 Page <Title>| ?2013SPISEC面向數(shù)據(jù)的系統(tǒng)開發(fā)（2013年刪除DOSD（DATA-ORIENTEDSYSTEMDEVELOPMENT）是一過關(guān)注數(shù)據(jù)及其結(jié)構(gòu)來表示軟件需求的方法。交易所以及一些服務提供商（如航空公司、公司等）生成的是與時間相關(guān)的數(shù)據(jù)。這些數(shù)據(jù)將離線提供給一些服務訂購者。例如，交易所到經(jīng)紀人再到次級經(jīng)紀人；航空公司到各自的旅行社等ASCII或其他規(guī)定的格式提供 的應用程序（平臺變體和開發(fā)工具變體），并可以直接將這些數(shù)據(jù)用于自己的應用程序中，以便 Page <Title>| ?2013SPISEC面向數(shù)據(jù)的系統(tǒng)開發(fā)（2013年刪除Page <Title>| ?2013SPISEC3.9.7系統(tǒng)軟件變更控制流程（2013年刪除所 均應在用于生產(chǎn)前由具有技術(shù)方面資質(zhì) 存檔記錄和批 求IS管理人員和工作人員了解并參與到系統(tǒng)軟件變更流程中。變更控制流程應確保影響生產(chǎn)系統(tǒng)的變更進行過合理評估（尤其是安裝時所產(chǎn)生。許多情況下，IS管Page <Title>| ?2013SPISEC3.11.3軟件能力成熟度模型（2013年刪除什么是1990年由卡耐基-梅隆大學軟件工程師和行業(yè)的資助下軟件能力成熟度模型（CMM）Page <Title>| ?2013SPISEC3.11.3軟件能力成熟度模型（2013年刪除軟件開發(fā) 進行過 目的：評估軟件供應商的能力→幫助軟件企業(yè)管理和改Page <Title>| ?2013SPISEC3.11.3軟件能力成熟度模型（2013年刪除等特級級級Page <Title>| ?2013SPISEC3.11.3軟件能力成熟度模型（2013年刪除CMM的5個級別初始級、可重復各級別要強調(diào)定量的過程管理和軟 改進，包括缺陷預Page <Title>| ?2013SPISEC輸入控制 控Page <Title>| ?2013SPISEC第四章信息系統(tǒng)的操作 與支4.2.2IT4.2.54.4.84.5.6OSI模型在網(wǎng)絡體系結(jié)構(gòu)中的應用Page <Title>| ?2013SPISEC第四章信息系統(tǒng)的操作 與支4.2.3架構(gòu)運行 4.3.1計算機硬件組成和架構(gòu)—內(nèi)存卡閃存盤，RFID（4.5.6OSI在網(wǎng)絡架構(gòu)的應用—局域網(wǎng)，廣域網(wǎng)，無線網(wǎng)，公 4.7.6備份和恢復—備份安排 Page <Title>| ?2013SPISEC4.2.2IT服務 管理層使用多種技術(shù)，包括問卷（questionnaires），現(xiàn)場檢查（onsitevisits），獨立第 independentthird-partyassurancereport），例如：SSAE16SOC1report，AT-101SOC2andSOC3reportsformerlySAS70)審計（2013年新增知識點）。Page <Title>| ?2013SPISEC4.2.5支持與服當啟動服務臺工單/呼叫（ticket/call）時觸發(fā)支持，基于 且可根據(jù)需要將其上報到IT管理人員。 Page <Title>| ?2013SPISEC4.4.8 Page <Title>| ?2013SPISEC4.5.6OSI模型在網(wǎng)絡體系結(jié)構(gòu)中的應（2013年刪除內(nèi)容客戶機-服務器技要有效管理和支持這些環(huán)境，IT人員需要解決發(fā)展和復雜性帶來 關(guān)鍵任務應用程序的日益復雜使越來越多的公司開始嘗試客戶端/服器平臺公司正在經(jīng) 將應用程序的更改整合到現(xiàn)有網(wǎng)絡系統(tǒng)中的問題對客戶端/服務器技術(shù)人員的需求導致頻繁的人員流動，增加了雇傭培訓的成本，對公司Page <Title>| ?2013SPISEC4.5.6